The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в Milter-плагине к Spamassassin, MaxDB, TikiWiki ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Milter-плагине к Spamassassin, MaxDB, TikiWiki ..."  +/
Сообщение от opennews (ok) on 17-Мрт-10, 21:37 
Несколько новых опасных уязвимостей:


-  В Milter-плагине для подключения SpamAssassin к sendmail найдена (http://isc.sans.org/diary.html?storyid=8434) критическая уязвимость, дающая возможность удаленному злоумышленнику выполнить свой код на сервере с правами администратора при отправке на этот сервер специально оформленного сообщения (в поле "rcpt to" достаточно передать "root+:|команда для выполнения в shell"). Наличие уязвимости подтверждено в версии SpamAssassin Milter Plugin 0.3.1 (http://savannah.nongnu.org/projects/spamass-milt/), разработчики оперативно выпустили патч (http://savannah.nongnu.org/bugs/index.php?29136). Стоит отметить, что SpamAssassin Milter Plugin является отдельным проектом, лишь косвенно связанным с SpamAssassin.

-  В СУБД SAP MaxDB (http://maxdb.sap.com/) найдена уязвимость (http://secunia.com/advisories/38955/), позволяющая выполнить код через отправку специально оформленного пакета на управляющий TCP-порт 7210.

-  В системе управления web-кон...

URL:
Новость: http://www.opennet.dev/opennews/art.shtml?num=25836

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в Milter-плагине к Spamassassin, MaxDB, TikiWiki ..."  +/
Сообщение от artemrts (ok) on 17-Мрт-10, 21:37 
root+:|команда для выполнения в shell

Ну это уж слишком...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Не по теме"  +1 +/
Сообщение от Аноним (??) on 17-Мрт-10, 22:31 

А зачем в этих комментариях поле Заголовок:?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от sHaggY_caT (ok) on 17-Мрт-10, 23:33 
Нда.. не проще ли требовать соотвествия RFC поля rcpt to средствами MTA, чем парсить это каким-то внешним софтом?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от zazik (ok) on 18-Мрт-10, 10:01 
>Нда.. не проще ли требовать соотвествия RFC поля rcpt to средствами MTA,
>чем парсить это каким-то внешним софтом?

А сендмейл такое умеет? У меня только с экзимом опыт есть.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от sHaggY_caT (ok) on 18-Мрт-10, 10:38 
>>Нда.. не проще ли требовать соотвествия RFC поля rcpt to средствами MTA,
>>чем парсить это каким-то внешним софтом?
>
>А сендмейл такое умеет? У меня только с экзимом опыт есть.

Терпеть не могу этот ужас (я про sendmail хоть сам по себе, хоть с m4) в новости написано про то, что проблема касается всех MTA.

На нашем Postfix не работает, так как я требую fqdn имени в конверте rcpt to: и mail from:, (то есть для rcpt to проверяю ящик) и еще и проверяю существование домена отправителя, впрочем, так, наверное, делают все, разве не так?

Хотя postmaster@ и abuse@ чекать так не красиво, но с другой стороны, как переписываться c абузниками, если они пишут с несуществующего домена?


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от zazik (ok) on 18-Мрт-10, 10:44 
Проверить допустимые символы в отправителе/получателе и соответствие шаблону адреса милое дело, по-моему. Шелл-команды, способной пройти эту проверку не припомню.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от zazik (ok) on 18-Мрт-10, 10:45 
Существование домена или наличие в нём MX-а?


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от sHaggY_caT (ok) on 18-Мрт-10, 11:10 
>Существование домена или наличие в нём MX-а?

1. проверяем, что бы в конверте был fqdn-домен
2. проверяем существование mx

Первое менее ресурсоемкая операция :)


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от zazik (ok) on 18-Мрт-10, 11:16 
>1. проверяем, что бы в конверте был fqdn-домен
>2. проверяем существование mx
>
>Первое менее ресурсоемкая операция :)

Не трудо-, а ресурсоёмкая :) Всё таки отпарсить строчку быстрее, чем слать ДНС-запросы.
А HELO проверяете?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от sHaggY_caT (ok) on 18-Мрт-10, 11:18 
>>1. проверяем, что бы в конверте был fqdn-домен
>>2. проверяем существование mx
>>
>>Первое менее ресурсоемкая операция :)
>
>Не трудо-, а ресурсоёмкая :)

Я так и написала :)

>Всё таки отпарсить строчку быстрее, чем слать
>ДНС-запросы.
>А HELO проверяете?

Конечно. И PTR, хотя это не красиво, но с другой стороны те, кто без нормальной PTR, сами себе злые бакланы, разве не так?
Нужно бы еще spf использовать


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от zazik (ok) on 18-Мрт-10, 11:22 
>Конечно. И PTR, хотя это не красиво, но с другой стороны те,
>кто без нормальной PTR, сами себе злые бакланы, разве не так?
>
>Нужно бы еще spf использовать

Нет, мы по отсутствию PTR не бреем. Точнее именно по отсутствию. Я проверяю совпадение IP хоста и прямого ресолва имени из HELO. Столько криворуких админов сразу выявилось.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от sHaggY_caT (ok) on 18-Мрт-10, 11:33 
>>Конечно. И PTR, хотя это не красиво, но с другой стороны те,
>>кто без нормальной PTR, сами себе злые бакланы, разве не так?
>>
>>Нужно бы еще spf использовать
>
>Нет, мы по отсутствию PTR не бреем. Точнее именно по отсутствию. Я
>проверяю совпадение IP хоста и прямого ресолва имени из HELO. Столько
>криворуких админов сразу выявилось.

ну, в Postfix это пара лишних строчек, да и в Exim тоже не сложно, а вот в sendmail проще оставить по-умолчанию...
Мне кажется, большинство(из тех, у кого он стоит) его оставляет в надежде на будущее, что когда-нибудь уж точно его осилят, но это когда-нибудь не наступает никогда :)

Я для себя решила, что ковыряние в m4 это пустая трата времени и некрофилия, лучше заняться чем-то более полезным :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от zazik (ok) on 18-Мрт-10, 11:36 
>Я для себя решила, что ковыряние в m4 это пустая трата времени
>и некрофилия, лучше заняться чем-то более полезным :)

Я тоже понял, что слишком слаб и предпочитаю пиво, а не задрачивание с конфигами сендмейла :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от sHaggY_caT (ok) on 18-Мрт-10, 11:36 
>>Конечно. И PTR, хотя это не красиво, но с другой стороны те,
>>кто без нормальной PTR, сами себе злые бакланы, разве не так?
>>
>>Нужно бы еще spf использовать
>
>Нет, мы по отсутствию PTR не бреем. Точнее именно по отсутствию. Я
>проверяю совпадение IP хоста и прямого ресолва имени из HELO. Столько
>криворуких админов сразу выявилось.

Да, на postmaster@ и abuse@ мы принимаем и без PTR, и с кривыми helo, главное только что бы ящик был на валидном домене

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от DeadLoco (ok) on 23-Мрт-10, 01:41 
Я предпочитаю начислять баллы за разного рода отступления от правил. Само по себе отсутствие обратной прописи не отсеивает письмо, но там, как правило, еще кривое ехло, и адрес отправителя неприличного вида, и хост отправителя навевает, и по спф тоже набегает немало. В сумме, как правило, два тяжелых прегрешения, три средних или четыре+ легких дают безжалостный отлуп. Еще на стадии коннекта. Всего полтора десятка проверок простеньких, а отсекается 95% мусора.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от Аноним (??) on 25-Мрт-10, 13:54 
>>Конечно. И PTR, хотя это не красиво, но с другой стороны те,
>>кто без нормальной PTR, сами себе злые бакланы, разве не так?
>>
>>Нужно бы еще spf использовать
>
>Нет, мы по отсутствию PTR не бреем. Точнее именно по отсутствию. Я
>проверяю совпадение IP хоста и прямого ресолва имени из HELO. Столько
>криворуких админов сразу выявилось.

Каждый расщепленный ДНС МХ в вайтлист руками пишете?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от zazik (ok) on 25-Мрт-10, 14:07 
>Каждый расщепленный ДНС МХ в вайтлист руками пишете?

Зачем? Это же Exim!


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от panolex email on 18-Мрт-10, 15:13 
читаем внимательно - при использовании milter
т е если используете milter - тада будут проблем
если не используете - нет проблем

кстати exim может работать(и так даже лучше) без milter напрамую с SpamAssassin

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от DeadLoco (ok) on 23-Мрт-10, 12:33 
>кстати exim может работать(и так даже лучше) без milter напрамую с SpamAssassin

СА вешается демоном, к которому можно обращаться из ацля экзима стадии DATA, причем СА не манипулирует почтой, а только начисляет баллы, на основании которых решения принимаются в экзиме. Мне такая схема нравится гораздо больше всех остальных уже хотя бы потому, что прозрачно задаются критерии - что проверяем в СА, а что пропускаем напрямую.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от o.k. on 18-Мрт-10, 01:20 
Connected to mx10.domain.ru.
Escape character is '^]'.
220 mx10.domain.ru ESMTP Server ready
ehlo gmail.com
250-mx10.domain.ru
250-PIPELINING
250-SIZE 40000000
250-ETRN
250-AUTH PLAIN LOGIN CRAM-MD5
250-AUTH=PLAIN LOGIN CRAM-MD5
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
mail from:<s@gmail.com>
250 2.1.0 Ok
rcpt to:root+:|touch /tmp/testmilter
501 5.1.3 Bad recipient address syntax
quit
221 2.0.0 Bye
Connection closed by foreign host.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Критическая уязвимость в Milter-плагине к Spamassassin. Проб..."  +/
Сообщение от cvsup (ok) on 18-Мрт-10, 10:24 
Содержимое поля rcpt to надо было в угловые скобки поставить.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру